科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道网管遭遇强权BOSS 如何配置公司网络

网管遭遇强权BOSS 如何配置公司网络

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

因网络需求较多,网络的管理模式较为死板,以后将给网络管理带来很多不变,如新进员工,或者客人到访时,首先需要选择IP地址,调整IP地址与MAC地址对应关系,最后调整DHCP服务。

作者:赛迪网 来源:赛迪网 2008年8月22日

关键字: 网管 网络管理软件 网络管理

  • 评论
  • 分享微博
  • 分享邮件
 

一天忽然接到一个朋友的电话,问我是否有空,请我帮个小忙,跟随朋友到聚点后,了解到朋友的需求如下:公司网络可以任意访问外网,内部因下载猖獗,导致网络经常无法正常使用,而且因某次论坛泄密事故导致公司老板非常恼火,因此要对公司内部网络做一次大的调整,

具体需求如下,封杀BT,电驴等下载软件,禁止浏览任何外网,允许使用邮件, 允许访问特定网站,允许使用QQ、MSN、SKYPE等聊天软件,允许一些特权的计算机任意访问外网,呵呵,不用说大家也知道,特权肯定是老板么,老板总是有特权(废话少说,继续)。公网使用一个IP地址做PAT转换,局域网内使用私有IP地址,使用DHCP服务为每个计算机分配IP地址,且根据每个计算机的MAC地址分配固定的IP地址,对于特权IP地址,采用MAC地址与IP地址进行绑定防治他人冒充使用,对于剩下的IP地址,全部绑定到一个不能让人猜到的MAC地址,看来这下老板真的急了。另外,为了方便日后管理,需要在路由器上启用PPTP服务,允许远程用户登陆。

  对于以上要求,我们选用了CISCO公司的2811路由器,采取的配置如下:

  一、DHCP服务

  1.全局地址池

  地址池名称:global

  地址段:192.168.0.0 255.255.255.0

  默认网关:192.168.0.1

  DNS:202.106.0.20,202.106.116.1

  地址租期:3天

  ip dhcp pool global

  network 192.168.0.0 255.255.255.0

  default-router 192.168.0.1

  dns-server 202.106.0.20 202.106.116.1

  lease 3

  2.固定地址池

  为每个员工建立一个DHCP 地址池,并根据员工姓名对地址池进行命名,根据MAC地址进行IP地址分配,如:

  ip dhcp pool staffnameA

  host 192.168.0.11 255.255.255.0

  client-identifier 0108.0046.0ef8.ae

  ip dhcp pool staffnameB

  host 192.168.0.12 255.255.255.0

  client-identifier 0100.115b.518c.a2

  注意,在MAC地址前面多了个01,然后每4位用一个点分隔。

  3.未分配的IP地址

  地址段:192.168.0.60 到192.168.0.254

  ip dhcp excluded-address 192.168.0.60 192.168.0.254

二、 设置IP地址与MAC地址绑定

  绑定特权IP地址与MAC地址的关系,保证特权IP不被占用。

  arp 192.168.0.2 0000.e897.444c ARPA

  arp 192.168.0.3 0000. 00e8.9734 ARPA

  …………

  绑定其他IP地址与MAC地址的关系,保证IP不被盗用。

  arp 192.168.0.9 ef00.abcd.4444 ARPA

  …………

  …………

  arp 192.168.0.254 ef00.abcd.4444 ARPA

三、PAT转换

  在外网接口上启用 ip nat outside,在内网接口上启用ip nat inside,全局使用语句“ip nat inside source list 100 interface FastEthernet0/0 overload”,根据访问控制列表100实现对内网地址的转换。

  访问控制列表100的策略:

  允许192.168.0.2、192.168.0.3、192.168.0.4、192.168.0.5、192.168.0.6、192.168.0.7、192.168.0.8七个特权地址任意访问公网。

  允许其他地址访问MSN、QQ、MAIL、SKYPE、DNS、网站:60.28.30.73、61.135.150.104、61.135.150.98等。

  允许任意用户使用PING命令。

四、PPTP配置

  建立用户abc,bcd,允许使用PPTP功能。打开AAA服务,实现本地认证。

  username abc password abc

  username bcd password bcd

  为VPN用户指定DNS

  ip name-server 202.100.0.20

  ip name-server 202.106.116.1

  打开AAA服务

  aaa new-model

  aaa authentication login default local

  aaa authentication ppp default local

  aaa authorization network default local

  配置PPTP服务

  vpdn enable

  !

  vpdn-group 1

  ! Default PPTP VPDN group

   accept-dialin

   protocol pptp

   virtual-template 1

  interface Virtual-Template1

   ip unnumbered FastEthernet0/1

   peer default ip address pool addpool

   no keepalive

   ppp encrypt mppe auto passive

   ppp authentication ms-chap ms-chap-v2

五、访问控制列表

  1.放开特权IP地址权限

  access-list 100 permit ip host 192.168.0.2 any

  access-list 100 permit ip host 192.168.0.3 any

  access-list 100 permit ip host 192.168.0.4 any

  access-list 100 permit ip host 192.168.0.5 any

  access-list 100 permit ip host 192.168.0.6 any

  access-list 100 permit ip host 192.168.0.7 any

  access-list 100 permit ip host 192.168.0.8 any

  2.允许其他用户使用的协议

  access-list 100 permit tcp any any eq 135

  access-list 100 permit udp any any eq domain

  access-list 100 permit icmp any any

  3.开放MSN

  access-list 100 permit tcp any any eq 1863

  access-list 100 permit tcp any any eq 3389

  access-list 100 permit tcp any any eq 1503

  access-list 100 permit tcp any any eq 6891

  access-list 100 permit tcp any any eq 443

  4.开放QQ

  access-list 100 permit tcp any any range 6891 6900

  access-list 100 permit tcp any any range 4000 4010

  access-list 100 permit tcp any any range 8000 8010

  5.开放MAIL

  access-list 100 permit tcp any any eq smtp

  access-list 100 permit tcp any any eq pop3

  access-list 100 permit tcp any any eq 143

  6.开放特定网站

  access-list 100 permit tcp any host 60.28.30.73 eq www

  access-list 100 permit tcp any host 61.135.150.104 eq www

  access-list 100 permit tcp any host 61.135.150.98 eq www

  7.开放SKYPE

  因为全部用户需要使用SKYPE,而SKYPE软件使用UDP协议,且通信端口并不固定,故全部开放UDP端口。

  access-list 100 permit udp any any

  access-list 100 permit tcp any host 61.135.159.159 eq www

  access-list 100 permit tcp any host 130.117.72.81 eq www

  access-list 100 permit tcp any host 198.173.5.35 eq www

  access-list 100 permit tcp any host 61.135.159.183 eq www

  access-list 100 permit tcp any host 61.135.158.236 eq www

  access-list 100 permit tcp any host 58.61.33.32 eq www

  因网络需求较多,网络的管理模式较为死板,以后将给网络管理带来很多不变,如新进员工,或者客人到访时,首先需要选择IP地址,调整IP地址与MAC地址对应关系,最后调整DHCP服务。今后可以考虑对员工的桌面进行管理,将网络需求转化为软件需求,减少网络的负责程度。总之,网络需求越少管理越简单,网络需求越多,管理越麻烦。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章